Prečo je šifrovaná komunikácia základom digitálnej bezpečnosti a čo sa stane, keď ju nemáte.
TLS (Transport Layer Security) je protokol, ktorý šifruje komunikáciu medzi prehliadačom vášho zákazníka a vaším serverom. Bez neho sú všetky dáta — heslá, čísla kreditných kariet, osobné údaje — posielané ako čistý text, ktorý môže ktokoľvek na sieti prečítať.
Aktuálna verzia TLS 1.3 (RFC 8446, 2018) odstránila zastarané šifrovacie algoritmy, znížila počet krokov na nadviazanie spojenia z dvoch na jeden (1-RTT handshake) a eliminovala známu triedu útokov ako BEAST, POODLE a DROWN, ktoré postihovali staršie verzie.
TLS 1.2 stále funguje, ale podporuje nebezpečné šifrovacie sady (cipher suites) ako CBC-mode a RSA key exchange. Útočník s pristupom k sieti môže zneužiť tieto slabiny. Veľké organizácie — PCI DSS, NIST, BSI — už vyžadujú TLS 1.3 alebo minimálne TLS 1.2 s obmedzeným zoznamom cipher suites.
HSTS (HTTP Strict Transport Security) je HTTP hlavička, ktorá prikáže prehliadaču: „S touto domenou komunikuj vždy cez HTTPS. Nikdy nie cez HTTP.“ Toto je kritické, pretože samotný HTTPS redirect nestačí.
vasadomena.sk (bez https://).
sslstrip).
S aktívnym HSTS prehliadač nikdy nepošle prvý požiadavok cez HTTP — automaticky prepíše na HTTPS ešte pred odoslaním. HSTS preload znamena, ze vaša doména je zapísaná priamo v zdrojovom kode prehliadača (Chrome, Firefox, Safari, Edge). Aj úplne prvý návštevník je chránený.
Správna hlavička:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Hodnota max-age=63072000 hovorí: „Nasledujúce 2 roky komunikuj s touto domenou len cez HTTPS.“ Ak nastavíte krátku hodnotu (napr.... 300 sekund), útočník stačí počkať 5 minut a útok zopakovať. Minimum pre HSTS preload je 1 rok (31536000).
Ak niekto pristupuje na vašu stránku cez http://, server musí okamžite presmerovat na https://. Toto je základná hygiena — ale nie je to dostatočná ochrana sama o sebe (preto potrebujete aj HSTS).
Mnoho webov presmerováva cez 302 (dočasne) namiesto 301 (trvale). Prehliadače 302 redirect necachuju, takže každý návštevník opakovane pošle prvý požiadavok cez nešifrované HTTP. Používajte vždy 301.
Certifikat je digitálny doklad, ktorý potvrdzuje identitu vášho servera. Keď prehliadač otvorí HTTPS spojenie, server predloží certifikát a prehliadač overí:
Let's Encrypt vydáva certifikáty zadarmo, automaticky, s platnosťou 90 dní. Neexistuje žiadny dôvod mať expirovaný certifikát. Napriek tomu denne expirujú certifikáty na tisíckach webov — väčšinou kvôli chýbajúcej automatizácii obnovenia.
Ked certifikát expiruje, prehliadač zobrazí celostrankové varovanie: „Táto stránka nie je bezpečná.“ Podľa štúdií Google az 53 % návštevníkov okamžite odíde a už sa nevráti. Pre e-shopy to znamena priamy výpadok tržby. V roku 2020 expiroval certifikát Spotify a 30 minut nedostupnosti stála odhadom $1.7M.
Chýbajúce šifrovanie nie je len technické pochybenie — je to podnikateľské riziko. Zákazníci, partneri a regulátori očakávajú, ze ich dáta sú chránené. Strata dôvery je nezvratná: podľa Ponemon Institute 65 % zákazníkov stratí dôveru vo firmu po dátovom úniku a 31 % ukončí obchodný vzťah.
Pre e-shopy a SaaS firmy je HTTPS priamo naviazaný na tržby: Google zvýhodňuje HTTPS stránky v organickom vyhľadávaní od roku 2014. Stránky bez HTTPS prichádzajú o 10-20 % organického trafficu.
Používate zastarané šifrovacie algoritmy, ktoré sú zraniteľné voči známym útokom. Regulátori (NIS2, PCI DSS) to považujú za nedostatočnú ochranu. Penetračný test toto označí ako vysokú zraniteľnosť.
Každý zákazník na verejnej WiFi je zraniteľný voči SSL stripping útoku. Prvý požiadavok je vždy nešifrovaný. Ak ste e-shop alebo spracúvate osobné údaje, porušujete princíp integrity komunikácie podľa GDPR čl. 32.
Časť vašich návštevníkov pristupuje na nešifrovanú verziu vašej stránky. Ich dáta sú viditeľné pre každého na sieti. Google Chrome zobrazuje „Not Secure“ v adresnom riadku — to je aktívne varovanie pred vašou firmou.
| Framework | Článok / Kontrola | Poziadavok |
|---|---|---|
| NIS2 | Článok 21 ods. 2 písm. e) | Šifrovanie komunikačných kanálov, kryptografické opatrenia |
| GDPR | Článok 32 ods. 1 písm. a) | Pseudonymizácia a šifrovanie osobných údajov |
| SOC 2 | CC6.1 | Logický prístup — šifrovanie dát v transporte |
| PCI DSS 4.0 | Poziadavok 4.2.1 | Silná kryptografia na ochranu dát pri prenose |
| ISO 27001 | A.10.1.1 | Politika použitia kryptografických kontrol |
Od 17. októbra 2024 je smernica NIS2 transponovaná do národných zákonov členských štátov EU. Na Slovensku sa týka všetkých stredných a veľkých podnikov v kľúčových sektoroch. Pokuty môžu dosiahnuť až 10 miliónov EUR alebo 2 % celosvetového obratu.
Náš audit skontroluje TLS verziu, certifikát, HSTS hlavičku aj HTTPS redirect za 30 sekúnd. Bezplatne.
Spustiť audit